检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
父主题: SSL证书管理类
访问JWT工具网站,选择“Algorithm”为“RS512”,获取公钥(PUBLIC KEY)。 图1 生成公钥 在JWK to PEM Convertor online工具中选中“PEM-to-JWK (RSA Only)”,输入上一步获取的公钥,单击“submit”,将公钥转换为JWK。
端到端的透明安全 适用场景 众所周知,将传统的单体应用拆分为一个个微服务固然带来了各种好处,包括更好的灵活性、可伸缩性、重用性,但微服务也同样面临着特殊的安全需求,如下所示: 为了抵御中间人攻击,需要用到流量加密。 为了提供灵活的服务访问控制,需要用到TLS和细粒度访问策略。 为
HTTPS证书配置提交时提示“证书格式不对”,如何进行PEM证书格式转换? HTTPS配置仅支持PEM格式的证书/私钥内容上传,针对不同的证书颁发机构,对证书内容的上传有不同的要求,格式要求请参见HTTPS证书要求。
-o yaml |grep "root-cert.pem" | head -1 | cut -d ":" -f 2 | sed s/[[:space:]]//g | base64 -d > ${VM1_DIR}/root-cert.pem 设置启动参数 在kubectl节点执行以下命
配置安全策略 ASM提供的安全功能主要分为访问授权、对端认证和JWT认证,以确保服务间通信的可靠性。 操作步骤 登录应用服务网格控制台,单击服务网格的名称,进入网格详情页面。 在左侧导航栏选择“服务管理”,在列表右上方选择服务所在命名空间。 选择一个服务,单击操作列的“安全”,在右侧页面进行访问授权和对端认证配置。
Istiod TLS证书密钥滥用(CVE-2021-34824) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 TLS证书密钥滥用 CVE-2021-34824 2021-06-24 影响评分 9.1 高危 触发场景 同时满足下列三个条件: Istio版本为1
在Istio使用中,JWT令牌生成由特定的认证服务提供,令牌验证由网格执行,彻底解耦用户业务中的认证逻辑,使应用程序专注于自身业务。基于Istio的JWT完整机制如图1所示。 图1 Istio JWT认证流程 ① 客户端连接认证服务,提供用户名和密码; ② 认证服务验证用户名和密码,生成JWT令牌,
Pair-xxxx_asm。 图1 创建密钥对 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称,文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 为保证安全,私钥只能下载一次,请妥善保管,否则将无法登录节点。 创建负载均衡
Pair-xxxx_asm。 图1 创建密钥对 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称,文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 为保证安全,私钥只能下载一次,请妥善保管,否则将无法登录节点。 创建负载均衡
1.3版本特性 基于Mixer的Metric、访问日志和调用链 支持SDS,证书轮换无需重启Pod 支持Sidecar API 控制面性能优化 华为私有版本Virtual Service Delegation上线,提前为大客户提供解耦Gateway流量配置 支持v1.13、v1.15、v1
构成,且reviews服务具有多个版本。这四个服务的说明如下: productpage:会调用details和reviews两个服务,用来生成页面。 details:包含了书籍的信息。 reviews:包含了书籍相关的评论,同时会调用ratings服务。 ratings:包含了由书籍评价组成的评级信息。
欠费说明 您在使用云服务时,系统会在订单的结算周期结束后生成账单并执行扣款。如果结算时账户余额不足,您的账户将进入欠费状态。欠费后,可能会影响云服务资源的正常运行,请及时充值。 欠费影响 包年/包月 对于包年/包月资源,用户已经预先支付了资源费用,因此在账户出现欠费的情况下,已有
添加网关 服务网关在微服务实践中可以做到统一接入、流量管控、安全防护、业务隔离等功能。 前提条件 服务网关使用弹性负载均衡服务(ELB)的负载均衡器提供网络访问,因此在添加网关前,请提前创建负载均衡。 创建负载均衡时,需要确保所属VPC与集群的VPC一致,详情请参见创建独享型负载
网格技术的一项重要能力就是以应用非侵入的方式提供这些监控数据的采集,用户只需关注自己的业务开发,无需额外关注监控数据的生成。 丰富APM能力:ASM基于网格生成服务访问数据,集成各种不同的APM服务,提供跨集群智能的服务运行管理。包括跨集群的服务调用链、服务访问拓扑和服务运行健康
有力支撑。 提高控制面Istiod稳定性 Istio采用的是全局更新配置信息策略,如下图所示,当服务B的相关信息发生变化时,Istiod会生成全量xds并推送给网格内所有Proxy,这会导致Istiod的瞬时CPU、内存占用过高,可能导致Istiod重启。 Mantis根据服务依
使用ingress中转方案 前提 确保准备工作已完成。 网格仅使用了网关能力。 已经创建和原网格网关同规格的ELB实例。 创建Ingress资源 证书secret从istio-system空间迁移到业务命令空间,可使用如下命令: kubectl -nistio-system get
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
indows、macOS。 允许访问的浏览器:请选择允许访问的浏览器,包括Chrome、IE。 流量管理Yaml信息:根据所设置的参数自动生成规则YAML。 基于请求内容流量策略只对直接访问的入口服务有效。如果希望对所有服务有效,需要业务代码对HTTP请求的Header信息进行传播。
是否重启已有服务: :会重启命名空间下已有服务关联的Pod,新生成的Pod自动注入istio-proxy sidecar。重启将会暂时中断业务。 新勾选的命名空间,会添加自动注入标签,重启命名空间下所有Deployment类型的Pod,新生成的Pod自动注入istio-proxy sidecar。
配置灰度版本基本信息。 灰度发布服务 单击“选择服务”,选择添加灰度版本的服务。 部署集群 灰度发布服务所属的集群。 发布任务名称 系统自动生成,可根据实际需求进行修改。 版本号 新增服务中灰度版本号。 版本描述 灰度版本描述信息。 根据界面提示的流程图,熟悉灰度发布版本流程,单击“创建”。
数据面升级说明 单击“升级”会将所有服务实例对接到新版本控制面,您可以通过修改命令空间的标签(去除istio-injection:enabled ,加上istio.io/rev: {revision} ,其中{revision} 为版本号,如1-13-9-r5),并重启部分pod进行测试,若无问题,则可以全部切换。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
